Datenverschlüsselung unter XP

[Seidl]

Hallo Leute!

Ich habe ein wenig in der Windows-Hilfe gestöbert und ein bisschen mit der Verschlüsselung herumprobiert. Dabei ist mir die Frage gekommen, wie sicher das ganze ist. Nach Suche im Forum habe ich unter anderem folgenden Thread gefunden:

http://www.wcm.at/vb2/showthread.php...schl%FCsselung

Aus den letzten zwei Postings werde ich dabei nicht ganz schlau. Heisst das jetzt, dass man die Verschlüsselung von XP in jedem Fall aushebeln kann, sobald man über ein anderes Medium booten kann?

[renew]

Zitat:

Original geschrieben von Seidl

Aus den letzten zwei Postings werde ich dabei nicht ganz schlau. Heisst das jetzt, dass man die Verschlüsselung von XP in jedem Fall aushebeln kann, sobald man über ein anderes Medium booten kann?

is leider so!

Wie das ganze aktuell wurde (sprich, wie es jemand raus gefunden hat), gab es eh relativ viele Berichte darüber.

Wenn ich wieder einen Artikel darüber finde, wo das ganze genauer steht, post ich ihn.

[Seidl]

@LLR: Gut zu wissen. Ich hatte mir schon Gedanken gemacht, meine USB-Platte der Sicherheit wegen mit NTFS zu formatieren.

Ich habe jetzt noch ein wenig gesucht, um herauszufinden wie aufwendig es ist, die Verschlüsselung zu umgehen. Wirklich brisante Daten habe ich ja kaum und ein schwacher Schutz ist besser als gar keiner. Leider sieht's so aus, als würde ich nach den falschen Begriffen suchen. Wenn mir jemand etwas unter die Arme greifen könnte, wäre ich echt dankbar.

[Digital_Id]

Hallo, weshalb setzt Du keine Verschlüsselungssoftware ein, die über den Handel erhältlich ist? Für Windows XP gibt es hier einige Produkte, die recht gut sind.

[Seidl]

@Digital_Id: Die ganze Sache ist an sich nicht aus einer Notwendigkeit zur Verschlüsselung entstanden, sondern aus der vermeintlichen Möglichkeit. Für mich hat es sich recht sympathisch angehört, dass ich einen Ordner mit den Bordmitteln von XP verschlüsseln kann und mich dann im Prinzip nicht mehr um Ver- und Entschlüsselung kümmern muss. Wenn die Sache zusätzliche Sicherheit bringt, warum nicht. Sollte eine externe Festplatte wirklich mal verloren gehen, so wird der potentiell unehrliche Finder in den meisten Fällen ohnehin nicht scharf darauf sein, die vorhandenen Daten auszuwerten. Und selbst wenn, würde der Grossteil auch nicht unbedingt wissen wie man die Verschlüsselung umgeht. Bis vor kurzem wusste ich es ja auch noch nicht und ich neige eigentlich dazu, mich für einen durchaus fähigen User zu halten.

[renew]

so, hab grad was gefunden:
Unter Win2000 gibts das "große Sicherheitsloch". Wenn man mit Win2k EFS verschlüsselte Dateien anschaun will, braucht man einfach nur das Passwort des Benutzers ändern, und hat somit natürlich schon Zugriff auf die Dateien, da man sich damit natürlich anmelden kann. (und Tools dafür gibt es zuhauf - man müsste evt. auch nur mit einer Linux-Bootdisk bzw. CD-Distribution - z.B. Knoppix - booten und kann das Passwort ändern.)

Unter XP schaut die Sache insofern anders aus, da hier die Verschlüsselung auch das eigene Passwort mit einbezieht - wird das Passwort nicht "normal" in Windows geändert, kann man die Dateien nicht mehr öffnen, bis das orginale, bei der Verschlüsselung aktuelle, Passwort wieder eingerichtet hat.

Wie es mit den sonstigen Sicherheitslöchern unter XP ausschaut, und wie man dort EFS knacken kann, hab ich jetzt auch nicht gefunden.

hier der Link, da steht a bissl was: http://www.heise.de/security/artikel/38009/2

[Seidl]

@LLR: Besten Dank! Hast du den Artikel per Suche gefunden oder wusstest du schon wo du suchen musst? Ich bin mit meiner Suche bei alltheweb und google ja leider erfolglos geblieben.

[renew]

Zitat:

Original geschrieben von Seidl
@LLR: Besten Dank! Hast du den Artikel per Suche gefunden oder wusstest du schon wo du suchen musst? Ich bin mit meiner Suche bei alltheweb und google ja leider erfolglos geblieben.

naja, zu dem thema is es wirklich nciht leicht etwas zu finden.

Ich hab gestern nachdem du den Thread eröffnet hast schon gesucht und nix gefunden.

Jetzt hab ich nochmal gesucht (einmal auf englisch und dann wieder auf deutsch).
Naja, das ist meine Suche bei Google gewesen, die mich auf den Artikel geführt hat: ntfs efs sicherheit aushebeln

Mich wunderts auch ein bissl, dass man da kaum was findet.

[Seidl]

Ich schätze die geringe Anzahl an Suchtreffern dürfte da auch auf das Betreiben von Microsoft zurückzuführen sein. Von den Links die ich zu dem Thema gefunden habe, gingen ungewöhnlich viele ins Leere.
Falls ich noch was interessantes zu dem Thema finden sollte werde ich es natürlich zu diesem Thread posten.

[Irmi]

Hallo,

Zweiwegverschlüsselung ist so eine Sache

(Zweiwegverschlüsselung bedeutet dass entschlüsseln möglich ist, im Gegensatz zu Einwegverschlüsselung wie z.B. MD5.)

Immer größer werden die Schlüssel. 128Bit, 256, 1344Bit, usw.
Klingt alles ganz gut und ein vollständiger Bruteforceangriff auf z.B. einwn 1344Bit-verschlüsselten Blowfish (das ist eine Verschlüsselungstechnik) würde mit dem heutigen Stand der Technik mehrere Millionen Jahre dauern. Klingt zwar gut, und bewegt viele dazu eine "sichere" Verschlüsselungssoftware von der Stange zu kaufen, in der Praxis ist das allerdings völlig anders

Es gibt nur eine einzige Möglichkeit Daten wirklich sicher zweiwegzuverschlüsseln. Und zwar dann, wenn der Schlüssel so lang ist wie der sogenannte "Klartext". (So bezeichnet man in der Kryptologie immer die nativen, also die unverschlüsselten Daten). Das ist das Prinzip des "One Time Pad".

Der Grund dafür ist einfach:
In jeder "Sprache" (z.B. Deutsche Sprache, Aufbau von GIF-Bildern, MPEG-Filmen, Word-Dokumenten) gibt es bestimmte Muster. Es gibt Statistiken darüber nach welchem Vokal der Konsonant "e" beispielsweise öfter vorkommt, welche Zeichnfolgen in der jeweiligen Sprache niemals oder selten vorkommen, usw. Ein GIF-Header ist immer gleich aufgebaut, nur die Daten sind anders, ein PCX-File hat am Ende z.B. immer eine 256Bytes-Palette, usw.
Durch einen relativ "kurzen" Schlüssel (1344Bit verglichen mit einem 1GB-File ist sehr kurz ) bleiben diese Muster in einer gewissen Form erhalten. Es gibt in der Kryptoanalyse (Umkehr von Kryptographie=Verschlüsselung) auch noch ganz andere Möglichkeiten sogenannten "Geheimtext" zu knacken. Das Aufspüren solcher Muster ist die größte Schwachstelle derartiger Algorhythmen.

Nur wenn der Schlüssel so lang wie der Klartext ist (Onetimepad-Prinzip), können diese Muster nicht mehr aufgespürt werden, da diese ganz einfach nicht mehr existieren. Das Onetimepad-Prinzip kann mit jedem beliebigen Standardalgo verwendet werden. Bisher war es nur sehr schwierig, das Onetimepad-Prinzip auch tatsächlich digital einzusetzen, da das Handling von derartig langen Schlüsseln entsprechende Rechenzeit beanspruchte.
Auf www.webCrypt.at wird diese Verschlüsselungstechnik erstmals seit einigen Monaten erfolgreich eingesetzt.

Natürlich muss man sich auch vor Augen halten, dass nicht nur ein Algorhythmus Schwachstellen haben kann in der Kryptologie. Hinzu kommen Sicherheitslücken durch das Tracen/Sniffen von Schlüsseln, Fragmenten von Klartext, usw.
Zweiwegverschlüsselung ist und bleibt daher ein heikles Thema und absolute Sicherheit kann hier niemand garantieren.

Trotzdem möchte ich nicht von Standardverschlüsselungsprogrammen abraten. In den meisten Fällen sind diese völlig ausreichend. In privaten Fällen oder in Kleinunternehmen, wo keine extrem wichtigen Daten existieren wie beispielsweise bei Banken und Kreditanstalten, wo ein Hacker wirklich Monate oder Jahre investiert um den Geheimtext zu knacken, sind Standardverschlüsselungsprogramme auf jeden Fall in Ordnung und sicher genug.
Ich möchte nur hinweisen, dass ein Knacken von Zweiwegverschlüsselungen prinzipiell möglich ist, wenn genügend Aufwand betrieben wird. Es sei denn, der Schlüssel ist so lang wie der Klartext.
Für den kleinen Bedarf empfehle ich www.webCrypt.at (Onetimepad online und kostenlos) oder um Laufwerke zu verschlüsseln www.drivecrypt.de (1344Bit kostenpflichtig).

Viel Spaß